Apache Killer (CVE-2011-3192)
Published: 2011/08/28
先週から話題になっているApache Killer。
リモートからRange指定を含むリクエストを大量に送ることで、ターゲットのメモリとCPUを消費させるというものでバージョン1.3系および2系のすべてが対象。「Range header DoS」というのですか。
かなり強力な効果があります。。。。。
しかも、攻撃コードが複数でまわっているせいか、このニュースが流れた後、25日夜~26日夜にかけて大量の攻撃が観測されました。
たとえば。
T 2011/08/26 15:12:42.000000 x.x.x.x:45302 -> x.x.x.x:10080 [A] HEAD /xxxxxx.jpg HTTP/1.1..Host: xxx.xxx.xxx..Range:by : : T 2011/08/26 17:26:09.000000 x.x.x.x:63163 -> x.x.x.x:8080 [A] HEAD / HTTP/1.1..Host: xxx.xxx.xxx..Range:bytes : : T 2011/08/26 17:33:09.000000 x.x.x.x:50198 -> x.x.x.x:80 [A] HEAD / HTTP/1.1..Host: x.x.x.x..Range:bytes=0-,5-0,5-1,5 : :
ここでは27日朝から観測されなくなってます。
はっきりと攻撃元のログが残ってしまうので、むやみに撃つのはやめたほうがいいかなと思います。botに組み込まれて勝手に撃たれているわけでもないと思いますしね。
apacheのaccess_logに
x.x.x.x - - [26/Aug/2011:21:05:05 +0900] "HEAD /XXX/xxx.html HT TP/1.1" 206 - "-" "Apache httpd Partial Content bug exploit"
こんなログが残っていたら要注意(UAはツールのもの)。というか、このログが出る状況だったらログ確認以前にサーバーが固まっているだろうぐらい影響大です。。。
パッチはまだかな?でも各種ワークアラウンドがありますので至急対策を。
by jyake